Certificación de registros del servidor

Por qué los logs del servidor requieren certificación forense

• Los logs se rotan automáticamente por los proveedores (cada 7-30 días típicamente) y se sobrescriben – sin certificación oportuna, las pruebas del ataque desaparecen definitivamente;
• Los archivos log descargados sin procedimiento forense son fácilmente contestables (“podrían haber sido modificados después de la descarga”);
• Los paneles de control de los proveedores muestran solo agregados (Cloudflare, AWS CloudFront) – los detalles granulares (peticiones individuales, IP, User Agent) desaparecen rápidamente;
• Sin timestamp cualificado y cadena de custodia, los logs no tienen pleno valor probatorio en procedimientos legales;
• El análisis forense profesional identifica patrones de ataque, IPs atacantes, secuencias temporales que una simple descarga no evidencia.

🌐 Logs Servidor Web

• Apache HTTP Server: access.log, error.log, ssl_access.log, ssl_error.log
  
  • Formato: Common Log Format (CLF), Combined Log Format, formato personalizado
  • Contiene: IP cliente, timestamp, método HTTP, URL solicitada, código estado, User-Agent, Referer
• Nginx: access.log, error.log, nginx_error.log
  
  • Logs upstream (si reverse proxy)
  • Logs handshake SSL/TLS
• Microsoft IIS: W3C Extended Log Format, NCSA Common Log Format, IIS Log Format
  
  • Logs FTP si configurado
  • Failed Request Tracing logs
• LiteSpeed: access.log, error.log (formato compatible Apache)

Utilidad forense: Identificar IPs atacantes, intentos SQL injection, path traversal, brute force en login, upload web shell, bot scraping.

🗄️ Logs Bases de Datos

• MySQL/MariaDB:
  
  • General Query Log (todas las queries ejecutadas)
  • Slow Query Log (queries lentas sospechosas)
  • Error Log (errores conexión, syntax errors de injection)
  • Binary Log (log replicación – útil para auditoría)
  • Audit Plugin logs (MariaDB Audit Plugin)
• PostgreSQL:
  
  • postgresql.log (query log si log_statement configurado)
  • pg_log (logs conexiones, errores, queries)
  • Formato CSV log para análisis estructurado
• MongoDB:
  
  • mongod.log (operaciones base de datos)
  • Audit logs (MongoDB Enterprise)
  • Profiler data (operaciones lentas)
• Microsoft SQL Server:
  
  • SQL Server Error Log
  • SQL Server Audit logs
  • Transaction Log (para recovery forensics)

Utilidad forense: Rastrear accesos no autorizados a datos sensibles, SQL injection exitosas, exfiltración datos, intentos escalada privilegios.

🔥 Logs Firewall y Sistemas de Seguridad

• iptables/netfilter (Linux): logs conexiones bloqueadas/aceptadas, detección port scan
• pfSense/OPNsense: logs firewall, alertas IDS/IPS (Suricata/Snort), logs VPN
• Cisco ASA/Firepower: logs conexión, detección amenazas, hits listas acceso
• Fortinet FortiGate: logs tráfico, logs amenazas, logs filtro web
• Palo Alto Networks: logs tráfico, logs amenazas, filtrado URL, análisis wildfire
• Windows Firewall: logs Windows Firewall with Advanced Security
• UFW (Ubuntu): ufw.log con reglas matcheadas

Utilidad forense: Documentar ataques DDoS, port scanning, intentos intrusión, tráfico bloqueado desde/hacia IPs sospechosas.

☁️ Logs CDN, WAF y Proveedores Cloud

• Cloudflare:
  
  • HTTP Request Logs (Logpush/Logpull)
  • Firewall Events (reglas WAF disparadas, peticiones bloqueadas)
  • Rate Limiting events
  • Logs ataques DDoS
  • Bot Management logs
• AWS CloudFront + WAF:
  
  • CloudFront access logs (bucket S3)
  • AWS WAF logs (reglas web ACL matcheadas)
  • CloudWatch Logs Insights queries
• Akamai:
  
  • Access logs (DataStream)
  • Eventos seguridad (Kona Site Defender)
  • Bot Manager logs
• Google Cloud CDN + Armor:
  
  • Cloud CDN logs (Cloud Logging)
  • Logs política seguridad Cloud Armor
• Azure Front Door + WAF:
  
  • Access logs (Azure Monitor)
  • WAF logs (reglas política matcheadas)

Utilidad forense: Analizar ataques Layer 7 (HTTP flood), SQL injection bloqueada por WAF, patrones ataque geográficos, tráfico bot.

🖥️ Logs Sistema Operativo

• Linux:
  
  • /var/log/auth.log (Debian/Ubuntu): intentos login SSH/sudo
  • /var/log/secure (RHEL/CentOS): autenticación sistema
  • /var/log/syslog: mensajes sistema generales
  • /var/log/kern.log: mensajes kernel
  • /var/log/messages: mensajes system-wide
  • journalctl (systemd): logging unificado
• Windows:
  
  • Security Event Log: login/logout, control acceso, uso privilegios
  • System Event Log: servicios, drivers, errores sistema
  • Application Event Log: eventos aplicaciones
  • PowerShell logs: ejecución scripts, historial comandos

Utilidad forense: Rastrear accesos SSH no autorizados, escalada privilegios, ejecución malware, movimiento lateral.

🔐 Logs Acceso y Autenticación

• SSH: /var/log/auth.log, sshd logs (intentos brute force, logins exitosos, IP origen)
• FTP/SFTP: vsftpd.log, proftpd.log (upload/descarga archivos, modificaciones)
• Paneles control hosting:
  
  • cPanel access logs, error logs
  • Plesk panel.log, access_log
  • DirectAdmin logs
• VPN: OpenVPN logs, WireGuard logs, IPsec logs (conexiones, desconexiones, IP cliente)
• RDP (Remote Desktop): Windows Security Log Event ID 4624/4625 (login success/failure)

Utilidad forense: Identificar accesos administrativos no autorizados, ataques credential stuffing, brute force SSH.

📱 Logs Aplicaciones Web

• PHP error_log: errores aplicación, warnings, fatal errors
• WordPress:
  
  • debug.log (si WP_DEBUG activo)
  • Logs plugins seguridad (Wordfence, iThemes Security, All In One WP Security)
  • Activity logs plugins (WP Activity Log, Simple History)
• Node.js/Express: logs aplicación (console.log, winston, bunyan)
• Python/Django: django.log, gunicorn access/error logs
• Java/Tomcat: catalina.out, localhost_access_log, logs aplicación
• Ruby on Rails: production.log, development.log

Utilidad forense: Rastrear errores aplicativos explotados por atacantes, intentos injection, uploads archivos maliciosos.

📊 SIEM y Agregadores Logs

• ELK Stack (Elasticsearch, Logstash, Kibana): export resultados queries, búsquedas guardadas, dashboards
• Splunk: export resultados búsqueda, eventos notables, dashboards
• Graylog: export streams, resultados búsqueda
• Wazuh: alertas, eventos seguridad, monitorización integridad archivos
• OSSEC: alertas HIDS, rootcheck, syscheck logs

Utilidad forense: Correlación eventos multi-fuente, timeline completa ataque, identificación IOC (Indicators of Compromise).

Solicitar presupuesto

Proporcionaremos inmediatamente la evaluación de viabilidad técnica (tipo logs, volumen, formato), la modalidad de adquisición (acceso controlado paneles o procesamiento archivos exportados), los plazos de ejecución y el presupuesto económico detallado.

Solicitar presupuesto

🎯 Identificación Accesos No Autorizados

Análisis IP origen, patrones temporales, User-Agent anómalos:

• IP Geolocation analysis: accesos desde países no autorizados (ej. servidor UE accedido desde Asia/Europa Este)
• Horarios anómalos: accesos administrativos a las 3am cuando equipo normalmente offline
• User-Agent spoofing: scripts/bots enmascarados como navegadores legítimos
• Viaje imposible: misma cuenta accede desde Madrid 10:00 y desde Lagos 10:05
• Login exitoso tras brute force: cientos intentos fallidos luego éxito con credenciales robadas

Output: Lista IPs atacantes con geolocalización, timeline accesos, correlación con credenciales comprometidas.

🔓 Reconstrucción Secuencia Ataque

Timeline completa desde primeros reconocimientos hasta exfiltración datos:

• Fase 1 – Reconnaissance: escaneos puertos, enumeración directorios (herramientas: Nmap, dirb, nikto)
• Fase 2 – Initial Access: exploit vulnerabilidad (SQL injection, file upload, RCE)
• Fase 3 – Persistence: instalación web shell, backdoor, tarea programada
• Fase 4 – Privilege Escalation: exploit kernel, sudo misconfiguration
• Fase 5 – Lateral Movement: acceso otros servidores red interna
• Fase 6 – Data Exfiltration: descarga base datos, documentos sensibles
• Fase 7 – Cover Tracks: eliminación logs, manipulación timestamp

Output: Kill Chain completa con timestamp cada fase, IPs utilizadas, comandos ejecutados, archivos afectados.

💉 Detección SQL Injection

Identificación intentos y SQL injection exitosas en logs:

• Pattern matching: búsqueda keywords SQL (UNION SELECT, OR 1=1, ‘ OR ‘1’=’1, etc.)
• Detección codificación URL: %27, %20, %3D en parámetros GET/POST
• Time-based blind SQLi: patrones SLEEP(), WAITFOR DELAY
• Error-based SQLi: respuestas con mensajes error MySQL/PostgreSQL
• Correlación logs queries base: confrontación web logs con database query log

Output: Lista peticiones sospechosas, payloads injection utilizados, datos eventualmente extraídos.

🔨 Análisis Ataque Brute Force

Documentación intentos masivos acceso:

• SSH brute force: miles intentos login desde IP única o botnet distribuida
• WordPress wp-login.php: intentos enumeración usuarios y password guessing
• FTP brute force: escaneo credentials en puerto 21
• RDP brute force: Event ID 4625 repetidos Windows
• Credential stuffing: uso credenciales robadas de otras brechas

Output: Volúmenes intentos, IPs origen (con ASN/ISP), usernames intentados, eventuales éxitos.

🌊 Reconocimiento Patrón DDoS

Análisis ataques volumétricos y aplicativos:

• Layer 7 HTTP Flood: miles peticiones GET/POST simultáneas
• Slowloris attack: conexiones parciales que agotan recursos
• UDP Flood: tráfico UDP masivo (logs firewall)
• SYN Flood: half-open connections (netstat, logs firewall)
• Amplification attacks: patrón amplificación DNS/NTP
• Botnet fingerprinting: identificación botnet (firma Mirai, Emotet)

Output: Picos tráfico con timestamp, IPs atacantes, tipo ataque, volumen ancho banda consumido.

🕵️ Investigación Amenaza Interna

Rastreo actividades sospechosas empleados/administradores:

• Accesos fuera horario: admin conectado fin semana/noche sin justificación
• Descargas masivas: backups no autorizados base datos, archivos empresa
• Abuso privilegios: acceso datos no pertinentes al rol
• Exfiltración datos: uploads a clouds personales, transferencias FTP externas
• Manipulación logs: intentos eliminación/modificación logs

Output: Timeline actividades sospechosas, archivos accedidos/descargados, correlación con eventos RRHH (dimisiones, despidos).

🔍 Evaluación Alcance Violación Datos

Determinación qué datos han sido comprometidos:

• Análisis queries base datos: qué tablas/columnas interrogadas por atacante
• Logs acceso archivos: documentos abiertos/descargados durante intrusión
• Tráfico saliente: volumen datos transferidos hacia IPs externas
• Cálculo exposición PII: cuántos registros con datos personales (nombre, email, hash contraseña) afectados
• Requisito notificación RGPD: evaluación si superado umbral notificación 72h

Output: Informe detallado datos comprometidos, número registros, necesidad notificación RGPD/autoridades.

🚨 Violación Datos Empresarial

Escenario típico: Servidor empresarial comprometido, base datos con datos clientes accedida por hacker, necesidad reconstruir qué fue robado para notificación RGPD y denuncia penal.

Qué certificamos: Logs Apache/Nginx con peticiones SQL injection, logs base MySQL con queries ejecutadas por atacante, SSH auth.log con accesos no autorizados, timeline completa desde initial access hasta exfiltración, IPs atacantes con geolocalización, volumen datos extraídos.

Finalidad: Denuncia penal por acceso abusivo y robo datos, notificación RGPD a Autoridad Protección Datos en 72h, comunicación sujetos afectados, solicitud indemnización seguro cyber.

💼 Sabotaje por Ex Empleado

Escenario típico: Ex empleado IT despedido tiene todavía acceso SSH/FTP al servidor, elimina archivos críticos, base datos, backups por venganza. Empresa descubre sabotaje tras días.

Qué certificamos: auth.log con login SSH desde IP ex empleado después fecha despido, logs FTP con eliminaciones masivas archivos, database audit log con comandos DROP TABLE, timeline acciones vs fecha despido, correlación IP con residencia ex empleado.

Finalidad: Denuncia penal por daños informáticos, solicitud indemnización daños, procedimiento disciplinario si todavía en preaviso.

🌐 Documentación Ataque DDoS

Escenario típico: E-commerce sufre ataque DDoS Layer 7 durante Black Friday, sitio inaccesible durante horas, pérdida ventas estimada 50.000€. Necesidad demostrar ataque para solicitud daños.

Qué certificamos: Cloudflare Analytics con picos tráfico, Firewall Events log con millones peticiones bloqueadas, patrón ataque (HTTP flood en /checkout), IPs botnet identificadas (con ASN), duración caída, comparación tráfico normal vs ataque.

Finalidad: Solicitud indemnización a proveedor hosting si SLA violado, denuncia si identificado responsable, reclamación seguro interrupción negocio.

🔐 Violación RGPD – Acceso No Autorizado Datos Personales

Escenario típico: Empleado marketing accede sin autorización a base RRHH con salarios, datos salud colegas. RRHH descubre tras denuncia, necesidad auditoría RGPD.

Qué certificamos: Database audit log PostgreSQL con queries SELECT en tablas RRHH desde usuario no autorizado, timestamp accesos, IP estación trabajo empleado, datos específicos visualizados (columnas), frecuencia accesos (¿meses?), correlación con rol empresa (no pertinente).

Finalidad: Procedimiento disciplinario, notificación Autoridad Protección Datos si violación, auditoría conformidad RGPD Art. 32 (medidas seguridad).

⚖️ Pericia Judicial Tribunal

Escenario típico: Juicio civil entre empresa A y B, controversia sobre cuándo archivo contrato modificado en servidor compartido. Perito nombrado por juez solicita análisis forense logs.

Qué certificamos: Server web access log con timestamp acceso archivo contrato, FTP log con modificaciones archivo, metadatos sistema archivos (mtime, ctime, atime), User-Agent e IP quién modificó, comparación hash archivo versiones anteriores desde backups.

Finalidad: Pericia técnica para perito judicial, determinación quién y cuándo modificó archivo controvertido, valor probatorio para juicio.

🇪🇺 RGPD – Reglamento (UE) 2016/679

Art. 32 – Seguridad del tratamiento: Los responsables deben implementar medidas técnicas y organizativas apropiadas, incluyendo capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. El logging y monitoring se consideran medidas esenciales.

Art. 33 – Notificación violación datos personales: En caso de violación datos, el responsable debe notificar la autoridad control en 72 horas. Para determinar alcance violación es fundamental el análisis logs: qué datos accedidos, cuántos registros, cuándo.

Art. 5(1)(f) – Integridad y confidencialidad: Obligación tratar datos de manera que garantice seguridad adecuada, incluida protección contra tratamientos no autorizados. Los logs son la herramienta primaria para detectar accesos no autorizados.

Directrices EDPB: El Comité Europeo Protección Datos recomienda conservación logs por período adecuado (típicamente 6-12 meses) para permitir investigaciones sobre incidentes seguridad.

🛡️ Directiva NIS2 (UE) 2022/2555

La Directiva NIS2 (Network and Information Security) impone obligaciones estrictas ciberseguridad para entidades esenciales e importantes.

Art. 21 – Obligaciones ciberseguridad: Las entidades deben adoptar medidas técnicas para gestionar incidentes, entre ellas:

• Incident handling: capacidad detectar, analizar y responder a incidentes;
• Business continuity: gestión crisis y disaster recovery;
• Seguridad supply chain: monitorización proveedores;
• Log management: registro eventos seguridad relevantes.

Art. 23 – Notificación incidentes: Obligación notificación incidentes significativos en 24 horas (alerta temprana) y 72 horas (informe incidente). Análisis logs fundamental para determinar si incidente es “significativo”.

Sanciones: Hasta 10 millones € o 2% facturación anual mundial (entidades esenciales), hasta 7 millones € o 1,4% facturación (entidades importantes).

🔒 ISO/IEC 27001:2022 – Information Security Management

Anexo A Control 8.15 – Logging: “Logs que registran actividades, excepciones, errores y eventos relevantes para seguridad deben ser producidos, conservados, protegidos y analizados.”

Requisitos específicos:

• Logs deben incluir: user ID, timestamp, tipo evento, resultado (success/failure), fuente evento
• Logs deben estar protegidos contra alteraciones no autorizadas
• Período retención adecuado para investigaciones y conformidad
• Revisión regular logs para identificar actividades anómalas

Auditoría ISO 27001: Durante auditoría certificación, auditores verifican siempre que logging está implementado y funcionando. Certificación logs demuestra conformidad.

📋 Estándares técnicos internacionales

• ISO/IEC 27037:2012 – Directrices identificación, recopilación, adquisición y preservación pruebas digitales
• NIST SP 800-92 – Guide to Computer Security Log Management (gestión, análisis, retención logs)
• RFC 5424 – Syslog Protocol (estándar formato logs)
• RFC 3161 y ETSI EN 319 422 – Estándares timestamp cualificado
• PCI DSS Requirement 10 – Track and monitor all access to network resources and cardholder data
• HIPAA Security Rule § 164.312(b) – Audit controls (sanidad USA)
• SOC 2 Type II – Requisitos logging y monitoring para organizaciones servicio

Proceso de certificación

Modalidad 1 – Procesamiento archivos log exportados por cliente (recomendada):

1. Cliente exporta logs: acceso a sus propios paneles/servidores, export logs formato nativo (.log, .txt, .csv, .json, .gz)
2. Transferencia segura: upload vía SFTP/portal seguro nuestro, o compartición temporal cloud cifrado
3. Recepción y verificación integridad: cálculo hash SHA-256 archivos recibidos, verificación formato y legibilidad
4. Adquisición forense:
   
   • Copia bit-a-bit archivos originales
   • Cálculo hash SHA-256 para cada archivo
   • Timestamp cualificado eIDAS en archivos originales
   • Creación working copy para análisis (originales intocados)
5. Parsing y normalización:
   
   • Parsing logs (formato Apache, Nginx, JSON, CSV, etc.)
   • Normalización timestamp (conversión zonas horarias → UTC)
   • Extracción campos: IP, timestamp, User-Agent, URL, código estado, etc.
   • Import en base datos forense para análisis
6. Análisis forense:
   
   • Análisis IP: geolocalización (MaxMind GeoIP2), WHOIS/ASN, reputación (AbuseIPDB)
   • Detección patrones: brute force, SQL injection, path traversal, tráfico bot
   • Reconstrucción timeline: secuencia eventos ataque
   • Detección anomalías: outliers estadísticos (spike tráfico, horarios inusuales)
   • Correlación: web logs + database logs + system logs
7. Informe técnico:
   
   • Executive summary
   • Metodología análisis
   • Hallazgos detallados con evidencias
   • Timeline gráfica eventos
   • Lista IOC (IPs atacantes, User-Agent maliciosos, URLs exploit)
   • Recomendaciones remediation

Modalidad 2 – Acceso controlado paneles cliente:

Cuando logs no exportables fácilmente o cliente prefiere nuestro acceso directo:

1. Mandato digital: cliente firma mandato autorizando acceso read-only paneles (cPanel, Plesk, Cloudflare, AWS Console)
2. Acceso VPN/IP whitelisting: conexión desde IP fija certificada, eventual VPN cliente
3. Adquisición directa: screenshots certificados dashboards, export logs desde interfaces, llamadas API para Cloudflare/AWS
4. Grabación pantalla (opcional): grabación vídeo operaciones adquisición para cadena custodia
5. Logout y revocación: al final, cliente revoca accesos temporales

Solicitar presupuesto

Proporcionaremos inmediatamente la evaluación viabilidad (tipo logs, volumen, formato, objetivos investigación), la modalidad técnica adquisición (export archivos vs acceso controlado), los plazos ejecución y el presupuesto económico detallado. Intervención URGENTE 24-48h disponible para casos críticos con logs en riesgo eliminación inminente.

Solicitar presupuesto